Wie schnell können heuteige Supercomputer ein Passwort knacken?
Moin Moin,
ich frage mich, wie lange heutige Supercomputer bräuchten, um ein 64 Stelliges VeraCrypt Passwort mit einem Inhalt von großen und kleinen Buchstaben, Zahlen und Sonderzeichen zu knacken.
Ich weiß nicht, ob dies eine rolle spielen würde, aber nehmen wir an, die Verschlüsselungsart wäre AES und hätte einem Has-Algorithmus von SHA-512.
Was meint ihr, wie lange würden die heutigen Supercomputer brauchen?
Liebe Grüße, Nioy
5 Antworten
Es gibt 26 große, 26 kleine Buchstaben, 10 Ziffern und sagen wir mal 10 Sonderzeichen die man so in Passwörtern benutzen kann. Macht also 72 Zeichen.
Wenn du ein 64-Stelliges Passwort hast, heißt dass es gibt 72^64 =74008188073452140380680373350129640905732747809179406226295452126293646901456734013952971364258988367334184692068909056 mögliche Passwörter
Ein normaler Computer schafft vllt so 10.000 Wörter pro Sekunde (kann man natürlich nicht pauschal sagen)
Sind wir mal großzügig und sagen ein Supercomputer schafft 1.000.000.000 pro Sekunde.
Dann würde der Supercomputer immer noch knapp 2*10^100 Jahre brauchen. Im Vergleich, das Universum ist knapp 13*10^9 Jahre alt.
Es gibt geschätzt 10^80 Atome im ganzen Universum.
Als Merkregel könnte man sagen, ab ca. 10 Zeichen macht eine Bruteforce Attacke keinen Sinn mehr. Und 64 sind da ne ganz andere Hausnummer.
Sehr sehr sehr lange. Man muss aber dazu sagen, dass dies sich natürlich nur auf reine Bruteforce Attacken bezieht. Außerdem muss dein Passwort "perfekt zufällig" sein. Wenn da irgendwie Geburtsdaten von deiner Familie oder Namen von Partnern/Haustieren vorkommen, leidet die Sicherheit des Passwortes enorm darunter.
Außerdem gibt es auch beispielsweise die Möglichkeiten über Keylogger oder ähnliches dein Passwort abzufangen wenn du es eingibst.
Ja, ich benutze gerade noch 1Passwort und lasse die Passwörter zufällig generieren. Ich denke, wenn ich jetzt was ganz schlimmes gemacht hätte, könnten sie auch bei 1Passwort nachfragen und würden so an das Passwort kommen. So hilf einem das sicherste Passwort auch nicht. 😂
Eigentlich sollte das nicht gehen. Ein auch nur etwas verantwortungsvolles Unternehmen speichert Passwörter NIE in Klartext hab. Die Passwörter werden gehasht und dann abgespeichert. Wenn du dich einloggen willst wird deine Eingabe auch gehasht und geschaut ob die Hashes übereinstimmen. Es wäre viel zu gefährlich Passwörter in Klartext zu speichern, falls die Server gehackt werden und die Datenbank geklaut wird.
Das ist übrigens einer der Gründe, warum man bei vergessenen Passwörtern immer nur ein neues festlegen kann, aber nicht das alte einfach anzeigen kann.
Naja wie gesagt, die Passwörter werden bei Google, Facebook etc auch nicht in Klartext gespeichert sein. Aber wenn die CIA, NASA aus irgendwelchen Gründen Informationen zu deinem Konto bräuchten, müssten sie ja nicht den Umweg über dein Passwort gehen sondern könnten sich alle Informationen einfach direkt von Google, Facebook etc geben lassen.
Also die CIA würde ja nciht sagen "geb uns mal das Passwort damit wir uns auf dem Account umschauen können", sondern einfach direkt "geb uns alles was du über diese Person gespeichert hast" und fertig.
Also Zugriff auf dein Passwort hätten sie trotzdem nicht (einfach weil das keiner kennt, nicht mal die Plattform auf dem du den Account hast), aber das braucht man ja dann auch nicht.
Ja das "fast" ist hier sehr wichtig haha. Also man kann es den Behörden theoretisch beliebig schwer machen dich zu finden, aber nicht unmöglich. Genauso wenig wie du ein System "perfekt sicher" machen kannst, du kannst es nur dem Angreifer beliebig schwer machen. Aber ein "unhackbar" gibt es nicht.
Ich werd folgende Geschichte nicht mehr perfekt wiedergeben können weil es schon lange her ist als ich das gelesen habe, aber ich versuchs.
Es gab mal eine Person die im großen Stil im Darkweb mit Kinderpornographie gehandelt hat. Er hat sich auch größte Mühe gegeben sich zu verschleiern mit Tor-Browser und alles drum und dran. Die CIA (oder NSA, bin mir nicht mehr sicher) hat allerdings zusammen mit Facebook einen Exploit in einem Videoprogramm geschrieben, mit den dieser Mann sich entsprechendes Videomaterial angeschaut hat. Über diesen Exploit hat man es dann geschafft ihn ausfindig zu machen.
Die Moral von dieser Geschichte (an die ich mich nur noch halb erinnere, also ich weiß nciht mehr wie genau die Details waren). Wenn man dich wirklich finden wollen würde, würden die NSA in Zusammenarbeit mit den IT-Riesen Google, Microsoft etc auch schaffen. Es ist nicht möglich sich "perfekt" zu verstecken. Man kann es den anderen auch nur wieder beliebig schwer machen.
Ganz analog zu deiner eigentlichen Frage mit dem Passwort. Es gibt kein Passwort, was man NIE mit Brute Force rausfinden würde. Du kannst nur dafür sorgen, dass es beliebig lange dauert.
Genauso wenig wie du ein System "perfekt sicher" machen kannst, du kannst es nur dem Angreifer beliebig schwer machen. Aber ein "unhackbar" gibt es nicht.
Jup, sehe ich genau so.
Ja, so eine ähnliche geschichte kenne ich auch. Is auch schon etwas länger her und nich so spannend:
Ein ca. 55 Jahre alter Mann, meinte einmal, dass er nichts zu verbergen hätte und sagte zu seinen Freunden. Dass sie nichts über ihn erfahren, was sie eh nich schon wissen. Naja, am Ende steckten seine Freunde eine Menge Zeit in diese Aufgabe und fanden herrraus, das er seine Frau Betrügt und das schon etwas länger.
Dazu gab es auch mal einen Artikel.
Aufjeden fall, vielen dank für deine ausführlichen und informativen Nachrichten, man lernt nie aus.
Liebe Grüße, Nioy
https://www.youtube.com/watch?v=KWfq8nbfGhg
Du kannst dir das hier mal anschauen, hier wird auch gezeigt wie viel man über eine komplett fremde Person rausfinden kann, wenn man sich nur mal ein bisschen mit ihrem social media accounts beschäftigt.
Kein Problem, ich wünsche dir noch einen schönen Abend.
Grüße, Amago
Schneller als eine CPU wäre eine Grafikkarte. Es kommt drauf an was für ein Passwort geknackt werden soll. 64 stellen sind definitiv ein Wahnsinn und selbst ein Supercomputer würde das nicht schaffen.
Wenn du harte Fakten suchst dann schau mal hier was welche Grafikkarte(n) leisten: https://github.com/siseci/hashcat-benchmark-comparison
Eine RTX2080 (gibt es für 700 EUR) schafft zB folgendes:
- MD5 (37350.7 MH/s == Megahashes)
- WPA (582.7 kH/s == Kilohashes)
- TrueCrypt (442.2 kH/s ... sollte der gleiche Hash-Alg. sein wie Veracrypt wenn ich mich recht erinnere)
Man kann natürlich auch Rechner mit 4, 8 oder mehr GPUs bestücken (zumindest spezielle Server) und dann hat man auch 4-, 8- oder X-fache Leistung.
Macht dann zB 10 x 442k = 4,42 Mio / Sekunde. Damit wird man 64-stelligen Passwörtern nicht gefährlich aber die kann sich auch keiner Merken. Also muss nur Schadware in deinen Passwortmanager einbrechen und sich das Passwort besorgen.
Bruteforceing ist nur für schwache PW gefährlich und auf meiner GTX1660 (250 EUR) prüfe ich bei WPA zB 610 Mio. Passwörter in etwas über 30 Minuten. Keiner wird Wochen, Monate oder Jahre mit den knacken verbringen aber die Tools zeigen gut wie sich Grenzen verschieben.
Galten vor einigen Jahren noch 8-Stellen mit Groß und Kleinbuchstben + Ziffern + Sonderzeichen als sicher. Außerdem nutzten die meisten Seiten MD5 um die PW zu speichern.
Heute zerfetz eine 700 EUR Grafikkarte das in der Luft.
Es kommt wie du siehst nicht nur auf die Länge des PW an sondern auch darauf wie komplex die Berechnungen sind bzw. wie lange damit ein Versuch benötigt. Außerdem kommt es drauf an die sehr der Angreifer an dein PW will.
Ein Abzocker der Daten sucht um diese mit PayPal abzugleichen um so dein Konto zu plündern wird nur wenige Minuten / Account opfern denn er sucht nach einfachen Opfern und er raucht Masse. Jemand der für den Angriff bezahlt wird oder der persönliche Gründe hat wird viel mehr Zeit als wenige Minuten in dein PW investieren.
Auch das bestimmt ob dein PW ausrechend sicher ist.
Aber wie gesagt 64 Stellen sind für Bruteforce (egal ob MD5, SHA512 oder Truecrypt) jenseits von Gut & Böse - da braucht es andere Angriffsmethoden wie eben Trojaner, Keylogger, usw.
Bei 10, 11 oder 12 Stellen könnte man über Algorithmen, Intentionen und eine mögliche Materialschlacht streiten...
Wow, okay, danke für deine ausführliche Antwort. Ja, 64 Stellen sind dann doch noch echt sicher. Mal sehen wie lange noch. 😜
Bis einer hunderte Server mit je 8 x RTX 9080 Ti Super in einem Cluster zusammenfasst sollte das noch ganz gut standhalten 😜
Länger als das Universum jemals existieren wird..
Selbst mit allen PCs der Welt!
Und für den Fall, dass du gezwungen wirst das Passwort zu verraten (z.B. USA Einreise), kann VeraCrypt dir auch einen versteckten Container anlegen :)
Nicht sicher, wann ich das jemals brauchen würde..
Mindestens 70 Jahre. Können gut mehr sein.
Okay, dachte das die Heutigen Supercomputer schneller sind.
Quadrillionen von Jahren. Absolut unrealistisch.
Okay, danke für deine Antwort. Das würde dann echt sehr sehr lange dauern. ;)